Hallo zusammen,
wir erstellen eine Schnittstelle zu einem selbst gehosteten Discourse-Server. Der Server ist zum Zeitpunkt der Erstellung dieses Textes auf dem neuesten Stand. Unser Code läuft auf einer anderen Domain.
Wir haben alles konfiguriert, wir erhalten den signierten SSO-Aufruf von Discourse und antworten mit dem, was wir für eine ordnungsgemäße signierte Antwort halten, gemäß diesem.
Wenn wir uns die Discourse-Protokolle ansehen, scheint unsere Antwort ordnungsgemäß signiert zu sein und die von uns zurückgegebenen Felder werden korrekt analysiert. Die Nonce ist ebenfalls identisch. Trotz alledem endet die Transaktion immer mit einem 419 „Nonce ist falsch, wurde in einer anderen Browsersitzung generiert oder ist abgelaufen“.
Die Nonce ist tatsächlich korrekt; sie kann nicht abgelaufen sein, da wir sofort antworten; und eine andere Browsersitzung – nun, die Antwort kommt vom Browser des Benutzers, also…?
Wir haben „*“ zu „allowed redirect domains“ hinzugefügt und versucht, unseren App-Server zur CORS-Liste hinzuzufügen (und die entsprechende Umgebungsvariable gesetzt). Keine Änderung.
Wir müssen etwas falsch machen… Ich wäre dankbar für jede Hilfe, um uns aus dieser Sackgasse zu befreien 